А что здесь понимать то? Нада, чтоб были разрешены все спец символы. ЧТо в таком случае нада фильтровать? Точнее как фильтровать гет или пост - запрос извне, в котором разрешены спец символы.
Куда идут данные? в sql запрос? инклуд? Если данные постом передаются , то пост фильтровать. Если гетом, то гет....че тут сложного. Куда идут данные? в sql запрос? инклуд?
А к какому языку относится вопрос? Если к php, то достаточно использования mysql_real_escape_string (mysql_escape_string), а при выводе уже фильтровать (htmlspecialchars, например). Вообще, при добавлении в mysql фильтровать вообще ничего не надо. Лучше добавлять данные в чистом виде.
Вобщем, попробую вопрос по другому сформулировать: достаточно ли фильтрации одной htmlspecialchars для данных, в которых должны быть разрешены все спец. символы?
Допустим все данные из формы A сохраняются в файл B и выводятся на экран в строку C. A: Затем эта форма передается на скрипт и сохраняется в файл C. Фильтровать на сохранении ничего не надо, достаточно правильно обработать выводимую из файла строку C функцией htmlspecialchars(B); Т.е вывод - фильтровать на выходе из файла.
vorona ты о чем? Выражайся яснее, и думай прежде чем писать, может тогда получится выражатся одним постом.
Об этом: Сообщение от vorona Вобщем, попробую вопрос по другому сформулировать: достаточно ли фильтрации одной htmlspecialchars для данных, в которых должны быть разрешены все спец. символы?
Смотря для чего, если вводимые данные не будут касаться БД то хватит, иначе по обстоятельствам нужно addslashes() и на выводе stripcslashes() ЗЫ если ты имел ввиду фильтрацию от NULL байта, то ею болеет только функции eregi() которых в пхп6 небудет уже
Входные данные никак фильтровать не надо. Нужно экранировать спецсимволы когда подставляешь данные в запрос, и прогонять через htmlspecialchars, когда выводишь на экран.
